商业银行信息科技外包风险评估模型.doc

商业银行信息科技外包风险评估模型LED显示屏ng 【摘要】本文从信息科技外包服务供需双方的角度,对目前商业银行信息科技外包现状进行了分析,全面识别了商业银行信息科技外包过程中可能面临的主要风险,结合已知风险因子和外包类型,形成了相应的外包风险预警指标体系,通过利用层次分析法,构建了可优化信息科技外包工作的商业银行外包风险评估模型。【关键词】信息科技外包风险风险评估重点外包服务机构优化控制一、背景随着信息科技技术应用的深入和信息科技外包服务的发展,近年来我国商业银行普遍将信息科技外包作为提高信息科技服务水平的重要手段,通过信息科技外包帮助银行提高管理和服务效率,节约信息科技建设和运维成本,实现战略升级。随着外包服务范围的扩大和深入,商业银行对于信息科技外包商的依赖程度也逐渐加大,外包商自身的财务风险、经营风险、操作风险和道德风险都有可能传导至商业银行,引发商业银行的业务中断、信息泄露、系统失效、经济损失、声誉受损等一系列系统性风险;另一方面,由于银行自身外包管理能力的不善,也引发了一些外包风险事件的发生。监管机构近年来高度重视信息科技外包风险,对商业银行外包管理提出了更明确的要求。因此,如何在信息科技外包过程中科学有效的评估外包商的风险,是商业银行目前信息科技外包风险管控迫待需要解决的问题。二、商业银行信息科技外包风险评估模型建立(一)商业银行信息科技外包风险识别信息科技外包是一种通过将风险发生时所造成的全部或部分影响转移给第三方服务供应商的风险转移措施,它使商业银行通过风险转移在一定程度上降低了信息科技风险事件发生时对银行造成的损失。然而,在将信息科技活动风险转移给第三方的同时,也带来了外包活动的相关风险。据此,本文从风险来源的角度将商业银行信息科技外包风险划分为两类(见图1)。图1商业银行信息科技外包风险框架对于A类风险(商业银行信息科技外包自有风险)与B类风险(外包商信息科技风险),本文识别了风险存在的领域,依据因子分析法进一步分解了各风险领域下的风险因子。 :商业银行信息科技外包自有风险。本文根据信息科技外包生命周期和管理主体,同时参考相关指引和通知,梳理了5个风险领域:外包管理组织架构及外包战略管理、外包风险管理、外包项目管理、外包商管理、监管报告管理。在每个风险领域下,根据因子分析法又分解了17个可能诱发风险事件的风险因子。 :外包商信息科技风险。本文参考了ISO27001、ITILV3和积累的经验,结合国际知名咨询公司的风险知识库,共梳理出9个风险领域:运维管理、信息安全管理、服务管理、问题、事件管理、变更管理、业务连续性管理、转包分包管理、公司治理。在每个风险领域下,使用因子分析法进一步分解了34个风险因子。(二)商业银行信息科技外包风险评估模型信息科技外包风险事件大都产生于银行自身或外部服务提供商内部控制管理的不善、人员或系统外部事件引发的损失,因此外包风险常常被归类为操作风险的一个分支。目前管理操作风险主要有三大定性工具,包括风险控制自我评估(RCSA),损失数据收集(LDC)和关键风险(KRI)指标。基于操作风险的三大工具,将信息科技外包风险评估模型分为为银行信息科技外包自有风险与外包商信息科技风险两块,通过识别风险领域及其风险因子,为每一个风险因子找到多个可应对它的控制活动,且通过控制活动识别关键风险考核指标,针